【TechOrange 編輯部導讀】今年 8 月裴洛西訪台,從小 7 到台鐵,甚至到外交部、總統府官網都被駭或遭到攻擊,顯示台灣對基礎設施的資安管理有待加強。

放眼國際,我們可以看到歐盟批准實施了 NIS 2.0 新政策,歐盟從烏俄戰爭中看見了怎樣的資安啟示?同時,這也相當值得台灣政府與企業主共同思索:當台灣可能面臨新形態戰爭,我們需要如何加強防護關鍵基礎設施?

今年 11 月底,歐盟議會和歐盟高峰會(European Council)批准實施一項名為Network and Information Security Directive 2(網路和訊息安全指令 2,下稱 NIS 2.0)的新政策。該政策將取代自 2016 年、作為歐盟第一個網路安全法規的初代 NIS 指令。

據世界經濟論壇指出, NIS 2.0 旨在擴大初代 NIS 所涵蓋的範圍,以及提升歐盟成員國對網路安全的標準門檻、強化其應變措施與防禦能力。值得注意的是,此次升級所擴大涵蓋的對象大多為能源系統、醫療網絡以及運輸服務等關鍵基礎設施。

歐盟 NIS 2.0:擴大規範 11 類對象,成立反應指揮中心抵禦網路攻擊

藉由《Lexology》彙整的資訊,來細看 NIS 2.0 與初代 NIS 的不同之處。舊的NIS 指令,以基本服務營運商(Operator of essential services)的名稱,來概括受規範對象,新版則以高度關鍵部門(Sectors of high criticality)稱呼,同時新增 11 項納管機構。

像是在能源類別,舊版 NIS 僅囊括電力、石油和天然氣等機構,新版則擴大到所有區域性供熱、冷卻設施,以及氫能源相關機構。而在數位基礎設施類別中,則擴大包含數據中心服務供應商、內容傳遞網路(CDN)服務供應商,以及電網、電訊通信營運單位。其他類別還包含水利設施、政府行政部門,都在納管範圍。

TO 延伸閱讀:【戰爭將滿週年】烏克蘭總統談話從未斷線!他們如何打造世界最有效的資安防禦

除了擴大範圍,NIS 2.0 還成立一個名為歐盟網路危機聯繫網絡 EU-CyCLONe(Cyber Crises Liaison Organisation Network )的反應中心,作為協助成員國戮力合作,提升網路安全計畫的一部分,該中心目的是協助歐盟各國監督、反應所遭遇的重大網路攻擊。

「如果我們受到工業規模的網路攻擊,我們也需要以同等規模聯手合作、抵禦。」歐盟議會議員 Bart Groothuis 指出。

且據 NIS 2.0 指令,歐盟還會與美國等國家一起強制執行更嚴格的網路安全匯報規定。例如該法規將要求所有受規範組織,在察覺遭受網路攻擊的24小時內提出報告,不這樣做的公司恐面臨巨額罰款。

中國駭客入侵、烏俄戰爭威脅基礎設施,新版 NIS 勢在必行

然而為何選在這個時間點批准實施 NIS 2.0 ?事實上有關 NIS 2.0 已經進行數年,且 2020 年就已經有相關提案。而鑑於近年歐盟成員國及國際社會遭受到資安威脅更勝以往,也是歐盟決議更新它的主因。

像是今年 2 月,比利時和荷蘭的幾間大型煉油廠遭到網路攻擊,駭客主要癱瘓了油庫的自動裝卸流程,導致碼頭邊等著裝卸原油產品的船無法順利操作,幾乎中斷了整個地區的石油產品交易。

TO 延伸閱讀:網路防禦力才是 21 世紀戰爭決勝點,烏俄之戰帶給台灣什麼新啟示?

又或是中國針對全球電信服務的攻擊。根據美國國安機構在今年中發布的調查報告指出,由中國政府雇傭的駭客,在過去兩年陸續入侵全球多家大型電信業者。據《MIT Technology Review》報導,中國駭客多半利用 Cisco、Citrix 和 Netgear 等常見網路設備供應商的產品漏洞,訪問目標網路。

更不用提烏俄戰爭挑動歐洲各國對網路安全的敏感神經。當今年 2 月俄羅斯初入侵烏克蘭時,俄羅斯政府的駭客將攻擊目標對準了美國衛星公司 Viasat。該行動立刻導致烏克蘭軍隊在戰爭初期失去通訊工具,因為烏克蘭軍隊依靠 Viasat 的衛星服務來指揮部隊。

這次襲擊證明了俄國軍方有能力採用網路攻擊、發動軍隊,兩者同步的混合戰略,不但向世人昭示了網路在現代戰爭中的角色,同時也威脅著 Viasat 在全球的合作夥伴:其他西歐國家、美國軍方等。

NIS 2.0 在 12 月正式生效後,未來歐盟成員國將有 21 個月的時間,將新規定納入該國立法。然而與此通時,EU-CyCLONe 成員已著手進行大規模網路攻擊模擬,以提高歐盟整體的戰備水準。

TO 延伸閱讀:若戰爭真的發生,台灣存活的關鍵:保持 3 天內「不斷網」能力

*本文開放合作夥伴轉載,參考資料:世界經濟論壇歐盟理事會LexologyMIT Technology Review12S&P Global,首圖來源:Wikipedia

(責任編輯:藍立晴)